QQ木马盗号原理分析 - 『网络畅游』

第五行者 (第五行者)

超级版主

UID 14969
精华 0
积分 47
帖子 292
威望 47
现金 123 币币
存款 10 币币
阅读权限 11
注册 2007-3-17
状态离线

#1

大中小

发表于 2007-7-24 10:38 资料个人空间短消息加为好友

QQ木马盗号原理分析

1、QQ木马激活后，会释放出一个“Deleteme.bat”批处理文件，把自身删除。所以当你不小心双击了木马时，会发现木马程序消失了；

2、创建一个木马副本Ntdhcp.exe复制到%system32%系统目录下，随即激活该副本；

3、写入注册表HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run,键项为NTdhcp，值为"c:\WINDOWS\System32\NTdhcp.exe" ，实现自启动保护；

4、扫描系统是否存在表中的一些系统安全软件，如杀毒软件，防火墙的，如发现相关窗体或类名存在(FindWindowExA()或FindWindowA())，则终止掉其进程；

5、去掉QQ键盘锁保护
  A. 如果QQ正在使用，终止该程序后修改npkcrypt.sys为npkcrypt.bak，阻止QQ.exe的加载；
  B. 如果QQ没有在使用，同样改名npkcrypt.sys，阻止QQ.exe键盘锁的加载；
（哦，原来他也并不是完全从技术上攻破QQ键盘锁，这里要引起大家的注意了，如果发现QQ键盘锁成红色叉的图标，可要及时检查系统安全，以免QQ被盗）

6、打好基础后，就可以等待受害的用户上钩了。。
  A. 用到日志钩子(JournalRecord),记录键盘事件；
  B. 当获取到相当的类名及窗体值时，激活键盘记录事件，记录写入%Windows%\ala2qq

可以用记事本方式打开%Windows%\ala2qq，其内容结构如下：

[QQ]
这里存放号码这是密码=ok
这里存放号码这是密码=ok
[PC]
addr=
ip=

(本文以老版本的啊拉QQ大盗为例,并不是所有盗号木马行为均与此完全相同,但基本原理是一致的)